Kära läsare, först och främst vill jag påpeka att jag som invånare i Tyskland i första hand beskriver situationen i detta land. Kanske är situationen radikalt annorlunda i ditt land.
Den 17 december 2019 publicerades information på Citrix Knowledge Center-sidan om en kritisk sårbarhet i produktlinjerna Citrix Application Delivery Controller (NetScaler ADC) och Citrix Gateway, populärt känd som NetScaler Gateway. Senare hittades även en sårbarhet i SD-WAN-linjen. Sårbarheten påverkade alla produktversioner från 10.5 till nuvarande 13.0 och tillät en obehörig angripare att exekvera skadlig kod på systemet, vilket praktiskt taget gjorde NetScaler till en plattform för ytterligare attacker på det interna nätverket.
Samtidigt med publiceringen av information om sårbarheten publicerade Citrix rekommendationer för att minska risken (Workaround). En fullständig stängning av sårbarheten utlovades först i slutet av januari 2020.
Allvaret i denna sårbarhet (nummer CVE-2019-19781) var . Enligt Sårbarheten påverkar mer än 80 000 företag världen över.
Möjlig reaktion på nyheten
Som ansvarig person antog jag att alla IT-proffs med NetScaler-produkter i sin infrastruktur gjorde följande:
- implementerade omedelbart alla rekommendationer för att minimera risken som anges i artikel CTX267679.
- kontrollerade om brandväggsinställningarna vad gäller tillåten trafik från NetScaler mot det interna nätverket.
- rekommenderas att IT-säkerhetsadministratörer uppmärksammar "ovanliga" försök att komma åt NetScaler och, om nödvändigt, blockerar dem. Låt mig påminna dig om att NetScaler vanligtvis finns i DMZ.
- utvärderade möjligheten att tillfälligt koppla bort NetScaler från nätverket tills mer detaljerad information om problemet erhålls. Under förjulshelgerna, semestrar etc. skulle detta inte vara så smärtsamt. Dessutom har många företag ett alternativt åtkomstalternativ via VPN.
Vad hände sedan?
Tyvärr, som det kommer att bli klart senare, ignorerades ovanstående steg, som är standardmetoden, av de flesta.
Många specialister som är ansvariga för Citrix-infrastrukturen fick veta om sårbarheten först den 13.01.2020 januari XNUMX . De fick reda på när ett stort antal system under deras ansvar äventyrades. Det absurda i situationen nådde den grad att de bedrifter som var nödvändiga för detta kunde vara fullständigt .
Av någon anledning trodde jag att IT-specialister läser utskick från tillverkare, system som anförtrotts dem, vet hur man använder Twitter, prenumererar på ledande experter inom sitt område och är skyldiga att hålla sig à jour med aktuella händelser.
Faktum är att i mer än tre veckor ignorerade många Citrix-kunder tillverkarens rekommendationer. Och Citrix kunder inkluderar nästan alla stora och medelstora företag i Tyskland, såväl som nästan alla statliga myndigheter. Först och främst påverkade sårbarheten statliga strukturer.
Men det finns något att göra
De vars system har äventyrats behöver en fullständig ominstallation, inklusive byte av TSL-certifikat. Kanske kommer de Citrix-kunder som förväntade sig att tillverkaren skulle vidta mer aktiva åtgärder för att eliminera den kritiska sårbarheten på allvar leta efter ett alternativ. Vi måste erkänna att Citrix svar inte är uppmuntrande.
Fler frågor än svar
Frågan uppstår, vad gjorde de många partners till Citrix, platina och guld? Varför dök den nödvändiga informationen upp på sidorna hos vissa Citrix-partners först under den tredje veckan av 3? Det är uppenbart att högbetalda externa konsulter också sov sig igenom denna farliga situation. Jag vill inte förolämpa någon, men en partners uppgift är i första hand att förhindra att problem uppstår, och inte att erbjuda = sälja hjälp med att eliminera dem.
Faktum är att denna situation visade det verkliga tillståndet inom IT-säkerhetsområdet. Både anställda vid företags IT-avdelningar och konsulter hos Citrix-partnerföretag borde förstå en sanning: om det finns en sårbarhet måste den elimineras. Tja, en kritisk sårbarhet måste elimineras omedelbart!
Källa: will.com